Méthodes d’authentification dans Microsoft Entra ID - Application Microsoft Authenticator

L’application Microsoft Authenticator fournit un niveau de sécurité supplémentaire pour votre compte Microsoft Entra professionnel ou scolaire ou pour votre compte Microsoft. Elle est disponible pour Android et iOS. Avec l’application Microsoft Authenticator, les utilisateurs peuvent s’authentifier sans mot de passe lors de la connexion, ou comme option de vérification supplémentaire lors de la réinitialisation de mot de passe en libre-service ou d’événements d’authentification multifacteur.

Les utilisateurs peuvent recevoir une notification par le biais de l’application mobile leur permettant d’accepter ou de refuser. Ils peuvent également utiliser l’application Authenticator pour générer un code de vérification OATH pouvant être entré dans une interface de connexion. Si vous activez à la fois la notification et le code de vérification, les utilisateurs s’enregistrant sur l’application Authenticator peuvent utiliser une des deux méthodes pour vérifier leur identité.

Remarque

En préparation de la prise en charge des clés de sécurité dans Microsoft Authenticator, les utilisateurs peuvent voir Authenticator comme un fournisseur de clés de sécurité sur les appareils iOS et Android. Les Passkeys ne sont pas actuellement supportés dans Authenticator, mais ils le seront dans une prochaine version.

Pour utiliser l’application Authenticator dans une invite de connexion au lieu de la combinaison nom d’utilisateur/mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.

Note

  • Les utilisateurs n’ont pas la possibilité d’enregistrer leur application mobile lorsqu’ils activent la réinitialisation de mot de passe en libre-service. En revanche, les utilisateurs peuvent inscrire leur application mobile sur https://aka.ms/mfasetup ou dans le cadre de l’inscription d’informations de sécurité combinée sur https://aka.ms/setupsecurityinfo.
  • L’application Authenticator peut ne pas être prise en charge sur les versions bêta d’iOS et d’Android. En outre, à compter du 20 octobre 2023, l’application Microsoft Authenticator sur Android ne prend plus en charge les anciennes versions du Portail d'entreprise Android. Les utilisateurs Android avec les versions du Portail d’entreprise inférieures à 2111 (5.0.5333.0) ne peuvent pas réinscrire ou inscrire de nouvelles instances de Microsoft Authenticator tant qu’ils ne mettent pas à jour leur application Portail d'entreprise vers une version plus récente.

Connexion sans mot de passe

Au lieu d’obtenir une invite de mot de passe après avoir entré un nom d’utilisateur, un utilisateur qui a activé la connexion par téléphone dans l’application Authenticator voit s’afficher un message lui demandant d’entrer un nombre dans son application. Lorsque le nombre correct est sélectionné, le processus de connexion est terminé.

Example of a browser sign-in asking for user to approve the sign-in.

Cette méthode d’authentification offre un niveau élevé de sécurité et évite à l’utilisateur de fournir un mot de passe lors de la connexion.

Pour commencer à utiliser la connexion sans mot de passe, consultez Activer la connexion sans mot de passe avec Microsoft Authenticator.

Notification via une application mobile

L’application Authenticator peut aider à empêcher tout accès non autorisé aux comptes et à arrêter les transactions frauduleuses en envoyant une notification à votre smartphone ou tablette. Les utilisateurs voient la notification et, si elle est légitime, sélectionnent Vérifier. Sinon, ils peuvent sélectionner Refuser.

Note

À compter d’août 2023, les connexions anormales ne génèrent pas de notifications, de la même façon que les connexions à partir d’emplacements inconnus ne génèrent pas de notifications. Pour approuver une connexion anormale, les utilisateurs peuvent ouvrir Microsoft Authenticator ou Authenticator Lite dans une application complémentaire appropriée comme Outlook. Ensuite, ils peuvent extraire pour actualiser ou appuyer sur Actualiser, puis approuver la demande.

Screenshot of example web browser prompt for Authenticator app notification to complete sign-in process.

En Chine, la méthode Notification via une application mobile sur les appareils Android ne fonctionne pas car les services Google Play (y compris les notifications Push) sont bloqués dans la région. En revanche, les notifications iOS fonctionnent. Pour les appareils Android, d’autres méthodes d’authentification doivent être proposées à ces utilisateurs.

Code de vérification de l’application mobile

L’application Authenticator peut être utilisée comme jeton logiciel pour générer un code de vérification OATH. Après avoir saisi votre nom d’utilisateur et votre mot de passe, vous entrez le code fourni par l’application Authenticator dans l’interface de connexion. Le code de vérification fournit un deuxième formulaire d’authentification.

Note

Les codes de vérification OATH générés par Authenticator ne sont pas pris en charge pour l’authentification basée sur les certificats.

Les utilisateurs peuvent combiner jusqu’à cinq jetons matériels OATH ou des applications d’authentification, comme l’application Authenticator, configurées pour une utilisation à tout moment.

Conforme à FIPS 140 pour l’authentification Microsoft Entra

Conformément aux instructions décrites dans NIST SP 800-63B, les authentificateurs utilisés par les agences du gouvernement des États-Unis doivent utiliser le chiffrement validé FIPS 140. Cela permet aux agences gouvernementales des États-Unis de répondre aux exigences du Décret présidentiel 14028. En outre, cela permet à d’autres secteurs réglementés comme les organisations de santé travaillant avec des prescriptions électroniques pour les substances contrôlées de répondre à leurs exigences réglementaires.

FIPS 140 est une norme gouvernementale américaine qui définit les exigences de sécurité minimales pour les modules cryptographiques dans les produits et systèmes des technologies de l’information. Les tests par rapport à la norme FIPS 140 sont gérés par le programme CMVP (Cryptographic Module Validation Program).

Microsoft Authenticator pour iOS

À compter de la version 6.6.8, Microsoft Authenticator pour iOS utilise le module Apple CoreCrypto natif pour le chiffrement validé FIPS sur les appareils Apple iOS conformes à la norme FIPS 140. Toutes les authentifications Microsoft Entra utilisant des clés d’accès liées à l’appareil et résistant à l’hameçonnage, les authentifications multifacteur (MFA) de type Push, les connexions par téléphone sans mot de passe (PSI) et les codes secrets à usage unique (TOTP) utilisent le chiffrement FIPS.

Pour plus d’informations sur les modules de chiffrement validés FIPS 140 utilisés et sur les appareils iOS conformes, consultez Certifications de sécurité Apple iOS.

Remarque

Dans les nouvelles mises à jour de la version précédente de cet article : Microsoft Authenticator n’est pas encore conforme à FIPS 140 sur Android. Microsoft Authenticator sur Android est actuellement en attente de certification de conformité FIPS pour prendre en charge nos clients qui peuvent exiger le chiffrement validé FIPS.

Détermination du type d’inscription Microsoft Authenticator dans Mes informations de sécurité

La gestion et l’ajout d’inscriptions Microsoft Authenticator supplémentaires peuvent être effectués par les utilisateurs en accédant à MySecurityInfo (voir les URL dans la section suivante) ou en sélectionnant Informations de sécurité de MyAccount. Des icônes spécifiques sont utilisées pour déterminer si l’inscription Microsoft Authenticator est une connexion par téléphone sans mot de passe ou l’authentification multifacteur (MFA).

Type d’inscription Authenticator Icône
Microsoft Authenticator : connexion par téléphone sans mot de passe Microsoft Authenticator passwordless sign-in Capable
Microsoft Authenticator : (Notification/Code) Microsoft Authenticator MFA Capable
Cloud URL MySecurityInfo
Commercial Azure (y compris GCC) https://aka.ms/MySecurityInfo
Azure pour le gouvernement des États-Unis (y compris GCC High et DoD) https://aka.ms/MySecurityInfo-us

Étapes suivantes